notiziari_48pxIn questa categoria sono visualizzati i notiziari relativi ai temi della sicurezza ICT pubblicati dal CERT-SPC quale ulteriore mezzo per informare la Constituency del Sistema Pubblico di Connettività, cittadini ed operatori interessati su alcuni temi di interesse per la sicurezza dei sistemi informatici delle Amministrazioni connesse a SPC. L'iniziativa mira, pertanto, a contribuire alla sensibilizzazione sulle tematiche di sicurezza informatica per consolidare e maturare una cultura della sicurezza delle applicazioni e dei sistemi informatici nella P.A.

Vulnerabilità nel formato file LNK di Microsoft Windows
(0 voti, media 0 su 5)
Giovedì 15 Luglio 2010 17:40

Alcune fonti in Rete segnalano una vulnerabilità di tipo "zero-day" che interessa il formato file Shell Link Binary File Format, noto come shortcut (collegamento), che usa l'estensione LNK gestita dai sistemi Windows per creare collegamenti a file e programmi.

La vulnerabilità non è stata ancora confermata da Microsoft ed è relativa alla funzionalità prevista dai sistemi operativi Windows di creare degli alias, ovvero dei collegamenti ai file memorizzati sul file system; tale funzionalità, quindi, istanzia un determinato file da altri percorsi (path) memorizzando la tipologia ed il percorso dove è memorizzato il file originale da richiamare. E' questa una funzionalità utilizzata anche per la visualizzazione dei file recenti non solo di Windows e delle periferiche di memorizzazione connesse, ma anche dei software applicativi come Office.

Le notizie al momento vagliate dal CERT-SPC riportano che la vulnerabilità, probabilmente di tipo buffer overflow, può essere sfruttata realizzando dei file .LNK contenti valori e parametri anomali in grado di alterare il processo di allocazione della memoria da parte di Windows Explorer o di alcuni altri software di gestione dei file. Sebbene non sia ben definito lo scenario di attacco, risulta che l'exploit disponibile in rete per tale vulnerabilità sia attivamente sfruttato da un rootkit che si propaga attraverso i dispositivi di memorizzazione USB.

Affinché l'attacco abbia successo, pare non sia neanche necessario che l'utente apra il file .LNK “malevolo” e predisposto dall’attaccante, essendo sufficiente la sola visualizzazione dei file contenuti nella memoria USB infettata dal malware che sfrutta questa vulnerabilità. In attesa di conferme da parte del produttore e di informazioni più circostanziate, considerata la diffusione e l'uso di memorie esterne connesse tramite l'interfaccia USB e la diffusione e familiarità con la funzionalità ed il formato di file vulnerabile, si raccomanda gli utenti di attenersi scrupolosamente alle politiche di sicurezza implementate nelle rispettive organizzazioni che disciplinano l'uso delle memorie esterne.

Ulteriori dettagli sono disponibili presso le seguenti URL:

http://krebsonsecurity.com/2010/07/experts-warn-of-new-windows-shortcut-flaw/

http://www.f-secure.com/weblog/archives/00001986.html

Aggiornamento #1

Microsoft ha pubblicato un avviso di sicurezza (2286198) per confermare la vulnerabilità segnalata alla quale è stato attribuito l'identificativo CVE-2010-2568. I sistemi interessati sono Windows XP, Windows Vista, Windows 7, Windows Server 2003 e Windows Server 2008. Da alcuni produttori di software e servizi antivirus il malware che sfrutta tale vulnerabilità è stato individuato come W32.Temphid (nomenclatura Symantec) e come indicato si propaga attraverso dispositivi di memorizzazione di massa connessi come dischi esterni via USB. Un'ulteriore scenario di attacco, rispetto a quello precedentemente indicato, prevede la possibilità di sfruttare da remoto tale vulnerabilità inducendo un utente a visitare un sito web appositamente predisposto o ad aprire collegamenti verso risorse di rete condivise. Microsoft nell'avviso di sicurezza non ha fornito il software correttivo ma indica alcuni workaround volti alla disabilitazione, attraverso la modifica di alcuni chiavi del Registro di Windows, della visualizzazione delle icone relative ai file di tipo LNK. L'altro Workaround suggerito prevede la sospensione del servizio di webclient. Per entrambi i workaround sono altresì indicate le modalità di ripristino. Ulteriori dettagli sono disponibili presso la seguente URL:

http://www.microsoft.com/technet/security/advisory/2286198.mspx

Aggiornamento #2

Alcuni produttori di software antivirus riportano la notizia della diffusione di alcuni malware in grado di sfruttare la vulnerabilità sopra indicata. Di interesse appare la variante del noto malware Zeus in grado di sfruttare la vulnerabilità che interessa il formato di file LNK gestito da Microsoft Windows propagandosi attraverso file allegati a messaggi di posta elettronica con oggetto : "Microsoft Windows Security Advisory." Raccomandiamo, pertanto, gli utneti di porre la massima attenzione nel leggere ed aprire file allegati a messaggi di posta elettronica provenienti da fonti sconosciute e di tenere aggiornati i sistemi antivirus. Ulteriori dettagli sono disponibili presso le seguenti URL:
http://www.f-secure.com/weblog/archives/00001996.html
http://blog.eset.com/2010/07/22/new-malicious-lnks-here-we-go
http://www.sophos.com/blogs/gc/g/2010/07/23/malware-exploiting-windows-shortcut-vulnerability/

Aggiornamento #3

In data 02 agosto, Microsoft ha rilasciato l'aggiornamento di sicurezza:

http://www.cert-spc.it/index.php/bollettini/vulnerabilita

Aggiornamento #4

In data 10 agosto, Microsoft ha rilasciato l'aggiornamento di sicurezza indicato al punto precedente anche nell'ambito del programma di rilascio periodico del software correttivo per il mese di agosto:

http://www.cert-spc.it/index.php/bollettini/notiziari/390-microsoft-aggiornamenti-di-sicurezza-per-il-mese-di-agosto-2010

 

Commenti

E' necessario autenticarsi per poter inviare commenti
< Prec.   Succ. >
Ultimo aggiornamento Martedì 10 Agosto 2010 23:09